Protección de los clientes
Protección de los servidores Web Reglas de publicación en Web Para proteger de ataques externos a los servidores Web que se encuentran detrás de los servidores de seguridad, inspeccione el tráfico HTTP y compruebe que su formato es apropiado y cumple los estándares Inspección del tráfico SSL Descifra e inspecciona las solicitudes Web entrantes cifradas para comprobar que su formato es apropiado y que cumple los estándares Si se desea, volverá a cifrar el tráfico antes de enviarlo al servidor Web
URLScan El paquete de características 1 de ISA Server incluye URLScan 2.5 para ISA Server Permite que el filtro ISAPI de URLScan se aplique al perímetro de la red Se produce un bloqueo general en todos los servidores Web que se encuentran detrás del servidor de seguridad Se bloquean en el perímetro los ataques conocidos y los descubiertos recientemente Servidor Web 1 ISA Server Servidor Web 2 Servidor Web 3
Protección de Exchange Server
Tráfico que omite la inspección de los servidores de seguridad Los túneles SSL atraviesan los servidores de seguridad tradicionales debido a que este tipo de tráfico está cifrado, lo que permite a los virus y gusanos pasar sin ser detectados e infectar los servidores internos El tráfico VPN se cifra y no se puede inspeccionar El tráfico de Instant Messenger (IM) no se suele inspeccionar y podría utilizarse para transferir archivos
Inspección de todo el tráfico Utilice sistemas de detección de intrusos y otros mecanismos para inspeccionar el tráfico VPN una vez descifrado Recuerde: defensa en profundidad Utilice un servidor de seguridad que pueda inspeccionar el tráfico SSL Expanda las capacidades de inspección del servidor de seguridad Utilice complementos para el servidor de seguridad que permitan inspeccionar el tráfico de IM
Inspección de SSL Los túneles SSL atraviesan los servidores de seguridad tradicionales debido a que este tipo de tráfico está cifrado, lo que permite a los virus y gusanos pasar sin ser detectados e infectar los servidores internos ISA Server puede descifrar e inspeccionar el tráfico SSL. El tráfico inspeccionado se puede enviar al servidor interno sin cifrar o cifrado de nuevo
Refuerzo de la seguridad de ISA Server Refuerzo de la pila de red Deshabilite los protocolos de red innecesarios en la interfaz de red externa: Cliente para redes Microsoft Compartir impresoras y archivos para redes Microsoft NetBIOS sobre TCP/IP 
Objetivos de seguridad en una red
Información general sobre Firewall de Windows Firewall de Windows en Microsoft Windows XP y Microsoft Windows Server 2003 Ayuda a detener los ataques basados en la red, como Blaster, al bloquear todo el tráfico entrante no solicitado Los puertos se pueden abrir para los servicios que se ejecutan en el equipo La administración corporativa se realiza a través de directivas de grupo Qué es Qué hace Características principales
Se puede habilitar: Al activar una casilla de verificación Con el Asistente para configuración de red Con el Asistente para conexión nueva Se habilita de forma independiente en cada conexión de red Habilitar Firewall de Windows
Servicios de red Aplicaciones basadas en Web
Configuración avanzada de Firewall de Windows
Opciones de registro Opciones del archivo de registro Registro de seguridad de Firewall de Windows
Firewall de Windows en la compañía Configure Firewall de Windows mediante directivas de grupo Combine Firewall de Windows con Control de cuarentena de acceso a la red
Utilice Firewall de Windows en las oficinas domésticas y en las pequeñas compañías con el fin de proporcionar protección a los equipos que estén conectados directamente a Internet No active Firewall de Windows en una conexión VPN (aunque debe habilitarlo en la conexión LAN o de acceso telefónico subyacente) Configure las definiciones de servicio para cada conexión de Firewall de Windows a través de la que desee que funcione el servicio Establezca el tamaño del registro de seguridad en 16 megabytes para impedir el desbordamiento que podrían ocasionar los ataques de denegación de servicio Recomendaciones
Objetivos de seguridad en una red
Limitaciones de Wired Equivalent Privacy (WEP) Las claves WEP estáticas no se cambian de forma dinámica y, por lo tanto, son vulnerables a los ataques No hay un método estándar para proporcionar claves WEP estáticas a los clientes Escalabilidad: el compromiso de una clave WEP estática expone a todos los usuarios Limitaciones del filtrado de direcciones MAC Un intruso podría suplantar una dirección MAC permitida Aspectos de seguridad en dispositivos inalámbricos
Autenticación de nivel 2 basada en contraseñas PEAP/MSCHAP v2 de IEEE 802.1x Autenticación de nivel 2 basada en certificados EAP-TLS de IEEE 802.1x Otras opciones Conexiones VPN L2TP/IPsec (la solución preferida) o PPTP No permite usuarios móviles Resulta útil cuando se utilizan zonas interactivas inalámbricas públicas No se produce la autenticación de los equipos ni se procesa la configuración establecida en directivas de grupo IPSec Problemas de interoperabilidad Posibles soluciones
Comparaciones de la seguridad de WLAN
Define un mecanismo de control de acceso basado en puertos Funciona en cualquier tipo de red, tanto inalámbrica como con cables No hay ningún requisito especial en cuanto a claves de cifrado Permite elegir los métodos de autenticación con EAP Es la opción elegida por los elementos del mismo nivel en el momento de la autenticación El punto de acceso no tiene que preocuparse de los métodos de EAP Administra las claves de forma automática No es necesario programar previamente las claves de cifrado para la red inalámbrica
802.1x
Ethernet Punto de acceso Servidor RADIUS (Gp:) Inicio de EAPOL
(Gp:) Identidad de respuesta de EAP
(Gp:) Desafío de acceso de RADIUS
(Gp:) Respuesta de EAP(credenciales)
(Gp:) Acceso bloqueado (Gp:) Asociación
(Gp:) Aceptación de acceso de RADIUS
(Gp:) Identidad de solicitud de EAP
(Gp:) Solicitud de EAP
(Gp:) Solicitud de acceso de RADIUS
(Gp:) Solicitud de acceso de RADIUS
RADIUS Equipo portátil Inalámbrico 802.11 (Gp:) Asociado 802.11
(Gp:) Éxito de EAP
Acceso permitido (Gp:) Clave de EAPOL (clave)
802.1x en 802.11
Requisitos del sistema para 802.1x Cliente: Windows XP Servidor: IAS de Windows Server 2003 Servicio de autenticación Internet: nuestro servidor RADIUS Certificado en el equipo IAS 802.1x en Windows 2000 El cliente e IAS deben tener SP3 Vea el artículo 313664 de KB No se admite la configuración rápida en el cliente Sólo se admiten EAP-TLS y MS-CHAPv2 Es posible que los futuros métodos de EAP en Windows XP y Windows Server 2003 no se puedan utilizar
Configuración de 802.1x Configurar Windows Server 2003 con IAS Unir un dominio Inscribir un certificado de equipo Registrar IAS en Active Directory Configurar el registro RADIUS Agregar el punto de acceso como cliente RADIUS Configurar el punto de acceso para RADIUS y 802.1x Crear una directiva de acceso para clientes inalámbricos Configurar los clientes No olvide importar el certificado raíz
Directiva de acceso Condición de directiva El tipo de puerto NAS coincide con Wireless IEEE 802.11 o con otro tipo de red inalámbrica Grupo de Windows = Opcional; proporciona control administrativo Debe contener cuentas de usuario y de equipo
Perfil de directivas de acceso Perfil Tiempo de espera: 60 min. (802.11b) o 10 min. (802.11a/g) No elija métodos de autenticación regulares Tipo de EAP: EAP protegido; utilice certificados de equipo Cifrado: sólo el más seguro (MPPE de 128 bits) Atributos: Ignore-User-Dialin-Properties = True
Especificación de mejoras en la seguridad interoperable y basada en estándares que aumenta enormemente el nivel de protección de los datos y el control de acceso para los sistemas actuales y futuros de una LAN inalámbrica
WPA requiere la autenticación de 802.1x para el acceso de red
Objetivos Cifrado mejorado de los datos Permitir la autenticación de los usuarios Compatible con versiones futuras de 802.11i Proporcionar una solución que no sea RADIUS para las oficinas domésticas o de pequeño tamaño
Wi-Fi Alliance comenzó las pruebas de certificación de la interoperabilidad de los productos de WPA en febrero de 2003
Wireless Protected Access (WPA)
| Página siguiente |